台灣肥料股份有限公司（以下簡稱本公司）管理階層宣示支持資訊安全之決心，持續改善資訊安全體質，降低資訊安全事故可能帶來之衝擊，以保障股東與客戶之權益。

本公司為強化資訊安全管理，確保資訊資產的機密性、完整性與可用性，以維持本公司業務持續運作之資訊環境，並符合相關政府法規與內外部利害相關人之要求，使其避免遭受內、外部的蓄意或意外之任何威脅，達到資訊安全，特訂定本政策。

1. 本公司已設置資訊安全管理委員會（以下簡稱資安委員會），由總經理擔任主任委員，副主任委員由資訊主管副總擔任，執行秘書由資訊主管擔任，委員會成員為全體一級主管擔任，並於111年11月設立資安專責主管及資安專責人員。
2. 資安委員會主要負責定義資訊安全管理系統之範圍、資訊安全管理政策與制度之擬議、資訊安全管理系統適法性與合宜性之審議及評估、確認本公司資訊安全管理運作之有效性、綜理組織資訊安全資源分配及成效、公司內部資安認知宣導與教育訓練之有效性等，並定期向審計委員會及董事會報告資安業務及風險評鑑結果。

1. 本公司內部訂定多項資安要點，以規範本公司人員作業行為，每年檢視資安政策與要點是否符合外在環境變遷，並依適法性及合宜性調整。
2. 資訊安全是全體同仁共同之責任，本公司全體同仁應遵守相關法令及制度規範，以期達成資訊安全政策目標。各級主管應督導資訊安全落實情況，強化同仁資訊安全認知及遵法概念。
3. 日常作業中應確實遵守「個人資料保護法」、「著作權法」、「營業秘密法」，以及其他資訊安全相關法令，保護本公司業務活動資訊，避免未經授權的存取、修改，以確保其正確完整。
4. 應使用公司採購具合法版權軟體，避免上網下載來路不明之軟體。
5. 凡領取使用者帳號後，應立即自行設定密碼，個人電腦及主機或網路設備之密碼須定期更換，使用者不得將自己的使用者帳號與密碼交付他人使用。
6. 個人電腦均應安裝端點防護軟體，如發現端點防護軟體遭移除、無法刪除病毒或發現資安風險時，應通報資訊處或各廠資訊人員，以便派員協助處理。
7. 電子郵件系統之電郵收發均經防毒防駭監控分析流程，惟仍有誤判或誤漏之虞，同仁收發郵件時如有發現異常信件，應主動通知資訊處。
8. 為因應各種內外部資安威脅，本公司已部署各面向資安防護設備構建成多層式資安防護機制，以提升整體資訊環境之安全性。
9. 本公司資訊資產皆應安裝端點防護軟體、資產管理軟體，並記錄相關使用及操作軌跡。
   
10. 本公司每年實施社交工程演練及資訊安全教育訓練，以提升內部人員資訊安全意識。
11. 本公司每年辦理滲透測試暨網頁弱點掃描服務，確保公司對外網站之弱點有適時修補並加強防護。
12. 本公司於111年01月加入「台灣CERT/CSIRT」聯盟。
13. 本公司於113年05月開始導入資訊安全管理系統(ISMS)。
14. 本公司於113年12月26日舉辦之113年度資安委員會第1次會議中審議通過ISMS第一階(政策)、第二階(規範、單行規章、辦法)之文件共20本。業經內部程序核定後於114年1月公告實施。

• 113年度共舉辦2次「資訊安全教育訓練」，共計418人次參訓，訓練總時數計6小時。
• 113年度共辦理2次社交工程演練，員工受測涵蓋率為100%，加強員工對於資訊安全風險之應變與資安意識，落實資安控管。
• 113年度共辦理2次災害復原演練，以縮短資訊服務系統中斷的影響時間。
• 113年度共辦理2次本公司對外網站之網頁弱點掃描，並完成中、高風險弱點之修補。
• 113年12月辦理本公司對外網站之滲透測試暨網頁弱點掃描，完成初測、初掃服務。
  更新日期114年2月3日
  113年12月辦理本公司對外網站之滲透測試暨網頁弱點掃描，完成初測、初掃服務。

更新日期114年02月10日